Neste artigo abordarei o Segundo assunto: quais t\u00f3picos incluir em seu programa de treinamento e conscientiza\u00e7\u00e3o em seguran\u00e7a. As sugest\u00f5es abaixo s\u00e3o aplic\u00e1veis independente se seus empregados est\u00e3o usando smartphones ou computadores, ou se eles est\u00e3o usando seus pr\u00f3prios dispositivos ou equipamento da organiza\u00e7\u00e3o.<\/p>\n
1) Autentica\u00e7\u00e3o<\/h2>\n
Claro, seus empregados devem usar senhas complexas, e nunca contar estas senhas para algu\u00e9m.<\/p>\n
Isto porque se o computador, laptop, smartphone, ou qualquer dispositivo deles for roubado, o ladr\u00e3o n\u00e3o apenas controlar\u00e1 todos os dados deste dispositivo \u2013 ele tamb\u00e9m ser\u00e1 capaz de penetrar na rede de sua organiza\u00e7\u00e3o e criar o caos nos dados de sua organiza\u00e7\u00e3o.<\/p>\n
![\"Caution\"](\"\/wp-content\/uploads\/2015\/03\/Caution2.png\")
<\/p>\n
A boa pr\u00e1tica \u00e9 usar softwares especiais chamados gerenciadores de senhas<\/em>, por que com tais softwares seus empregados precisar\u00e3o lembrar de apenas uma senha complexa, enquanto que o gerenciador de senhas ir\u00e1 lembrar de todas as outras. E a coisa boa \u00e9 que o mesmo gerenciador de senhas pode ser usado para todos os dispositivos do empregado.<\/p>\n Adicionalmente, para os servi\u00e7os mais importantes como email e compartilhamento de arquivos, seus empregados deveriam considerar usar t\u00e9cnicas mais avan\u00e7adas como autentica\u00e7\u00e3o de dois fatores \u2013 tais t\u00e9cnicas est\u00e3o atualmente dispon\u00edveis gratuitamente em muitos dos provedores de servi\u00e7o em nuvem, e proveem um n\u00edvel maior de seguran\u00e7a mesmo se as senhas forem comprometidas. Estes sistemas de autentica\u00e7\u00e3o de dois fatores podem trabalhar em conjunto com um telefone (enviando uma mensagem de texto para um usu\u00e1rio leg\u00edtimo) ou com o uso de chaves USB especiais \u2013 sem elas, o acesso a conta n\u00e3o seria permitido.<\/p>\n Infelizmente, conex\u00f5es sem fio t\u00eam se provado serem muito inseguras. Por exemplo, seus empregados deveria evitar conex\u00f5es Bluetooth sempre que poss\u00edvel, porque j\u00e1 foi provado que elas s\u00e3o as mais f\u00e1ceis de se invadir.<\/p>\n Redes Wi-Fi p\u00fablicas frequentemente n\u00e3o s\u00e3o muito melhores \u2013 hackers configuram tais redes em locais p\u00fablicos, alegando serem provedores leg\u00edtimos, com o prop\u00f3sito de ganhar acesso ao tr\u00e1fego de Internet dos usu\u00e1rios. Desta forma, eles podem acessar todas as senhas e outras informa\u00e7\u00f5es sens\u00edveis. Assim, uma pessoa deveria ser muito cuidadosa com quais redes ela se conecta.<\/p>\n Se a rede Wi-Fi dom\u00e9stica ou de escrit\u00f3rio \u00e9 usada de forma impr\u00f3pria, ela tamb\u00e9m pode ser a causa de uma viola\u00e7\u00e3o de seguran\u00e7a \u2013 novamente, as senhas no roteador devem ser complexas o bastante, e a criptografia WPA2 deveria ser utilizada.<\/p>\n A conex\u00e3o com a Internet atrav\u00e9s de provedores de telecomunica\u00e7\u00f5es m\u00f3veis (i.e., 3G ou 4G) \u00e9 considerada a conex\u00e3o wireless mais segura, mas frequentemente \u00e9 a mais cara. Claro, fazer uso de uma linha fixa \u00e9 mais seguro do que qualquer conex\u00e3o wireless.<\/p>\n Existe um m\u00e9todo que torna a comunica\u00e7\u00e3o muito mais segura a um custo relativamente baixo: usar o servi\u00e7o VPN. Este \u00e9 um m\u00e9todo onde todos os dados que s\u00e3o transmitidos s\u00e3o criptografados antes de deixar o computador, sendo que esta \u00e9 provavelmente a melhor forma de mant\u00ea-los seguros.<\/p>\n Seus empregados nunca deveriam prover acesso aos seus dispositivos a ningu\u00e9m; OK, em alguns casos eles ir\u00e3o querer que seus conjunges ou filhos acessem seus computadores para, por exemplo, jogar ou fazer comprar. Mas, em tais casos, eles deveriam abrir uma conta separada em seus sistemas operacionais para permitir que esta pessoa acesse o computador; tal conta n\u00e3o deve ter privil\u00e9gios de administrador porque ent\u00e3o eles ser\u00e3o capazes de (inadvertidamente) instalar softwares maliciosos.<\/p>\n Permitir que algu\u00e9m acesse a mesma conta em um computador \u00e9 um enorme risco de seguran\u00e7a \u2013 esta pessoa n\u00e3o tem que fazer nada malicioso \u2013 basta que elas apaguem alguns arquivos por engano, ou executem algum programa que n\u00e3o era para ser rodado.<\/p>\n Dispositivos m\u00f3veis, incluindo laptops e smartphones, est\u00e3o entre aqueles que mais frequentemente s\u00e3o alvo de ladr\u00f5es \u2013 n\u00e3o apenas porque eles querem revender o dispositivo, mas tamb\u00e9m porque eles sabem que os dados nestes dispositivos podem ser bem mais valiosos.<\/p>\n Senso assim, aqui est\u00e3o algumas dicas sobre como proteger um dispositivo m\u00f3vel:<\/p>\n N\u00e3o importa o qu\u00e3o cuidadosos seus empregados sejam, um laptop ou um smartphone ainda pode ser roubado. \u00c9 por isso que voc\u00ea deveria pedir a eles para proteger todos os seus dados (ou ao menos os mais sens\u00edveis) com criptografia. Isto ainda n\u00e3o \u00e9 f\u00e1cil com smartphones, mas esta funcionalidade est\u00e1 inclu\u00edda em muitos sistemas operacionais de computadores \u2013 ela precisa apenas ser ativada.<\/p>\n Uma vez que muitos dos dados s\u00e3o agora transferidos ou arquivados na nuvem, criptografar tais dados faz sentido. Muitos provedores de nuvem alegam que eles criptografam os dados em seus sistemas; contudo, pode ser melhor criptografar os dados antes deles irem para a nuvem \u2013 voc\u00ea nuca sabe o quanto voc\u00ea pode confiar no provedor.<\/p>\n Se dados s\u00e3o perdidos, e tudo o mais falha, o backup \u00e9 geralmente o \u00faltimo recurso \u2013 em muitos casos, o backup salvou n\u00e3o apenas dias, mas tamb\u00e9m meses ou anos do trabalho de algu\u00e9m.<\/p>\n Assim, assegure que seus empregados tenham o sistema de backup adequado em opera\u00e7\u00e3o (muito frequentemente um simples servi\u00e7o de nuvem ser\u00e1 o suficiente), mas tamb\u00e9m que o backup seja atualizado regularmente. Um ponto de aten\u00e7\u00e3o: ter um Sistema de backup significa que os dados est\u00e3o armazenados em ao menos dois locais \u2013 e.g., em um computador e na nuvem. Isso significa que manter os dados apenas na nuvem n\u00e3o constitui um verdadeiro backup.<\/p>\n Primeiro de tudo, voc\u00ea deveria prover uma lista de softwares permitidos aos seus empregados, e permitir a instala\u00e7\u00e3o nos dispositivos apenas de softwares que s\u00e3o usados para fins de neg\u00f3cio. Muito frequentemente, existem jogos ou softwares utilit\u00e1rios que s\u00e3o oferecidos como download gratuito na Internet, apenas para se descobrir depois que eles foram usados por hackers para infectar com v\u00edrus os computadores de seus empregados com o prop\u00f3sito de extrair informa\u00e7\u00f5es.<\/p>\n Infelizmente, o software aprovado tamb\u00e9m ter\u00e1 vulnerabilidades de seguran\u00e7a, permitindo que softwares maliciosos sejam instalados no dispositivo \u2013 \u00e9 por isso que \u00e9 crucial instalar todas as corre\u00e7\u00f5es de seguran\u00e7a assim que s\u00e3o publicadas. O melhor seria pedir aos seus empregados que configurem suas atualiza\u00e7\u00f5es para serem instaladas automaticamente.<\/p>\n Existem algumas pr\u00e1ticas de seguran\u00e7a que deveriam ser consideradas normais, como por exemplo:<\/p>\n Claro que, cada organiza\u00e7\u00e3o ter\u00e1 que adaptar seus programas de treinamento e conscientiza\u00e7\u00e3o de acordo com suas pr\u00f3prias necessidades, assim voc\u00ea n\u00e3o deveria considerar estes 8 itens como uma lista definitiva. O melhor seria usar um framework como a ISO 27001<\/a>, a norma l\u00edder em seguran\u00e7a da informa\u00e7\u00e3o, para prover a voc\u00ea orienta\u00e7\u00e3o detalhada sobre como realizar treinamento & conscientiza\u00e7\u00e3o em seguran\u00e7a. Veja tamb\u00e9m: Como realizar treinamento e conscientiza\u00e7\u00e3o para a ISO 27001 e ISO 22301<\/a>.<\/p>\n N\u00e3o importa como voc\u00ea treina seus empregados e como os torna conscientes da seguran\u00e7a, lembre da coisa mais importante: simplesmente comprar nova tecnologia n\u00e3o aumentar\u00e1 seu n\u00edvel de seguran\u00e7a; voc\u00ea tamb\u00e9m tem que ensinar ao seu pessoal como usar a tecnologia apropriadamente, e explicar a eles porque ela \u00e9 necess\u00e1ria em primeiro lugar. De outra forma, esta tecnologia apenas se tornar\u00e1 o que os donos do neg\u00f3cio mais temem: um investimento desperdi\u00e7ado.<\/p>\n Clique aqui para fazer o download gratuito de uma \u00a0<\/em>ISO 27001 awareness presentation<\/a> que ajudar\u00e1 voc\u00ea a explicar o b\u00e1sico desta norma de seguran\u00e7a da informa\u00e7\u00e3o para os seus empregados.<\/em><\/p>\n2) Conex\u00e3o de rede<\/h2>\n
3) Acesso ao dispositivo<\/h2>\n
4) Seguran\u00e7a f\u00edsica<\/h2>\n
\n
5) Criptografia de dados<\/h2>\n
6) Backup<\/h2>\n
7) Instala\u00e7\u00e3o e corre\u00e7\u00e3o de software<\/h2>\n
8) \u201cHigiene\u201d de seguran\u00e7a b\u00e1sica<\/h2>\n
\n
Invista sabiamente em sua seguran\u00e7a<\/h2>\n